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(57) Abstract 



The loading of a plurality of applications into a chip card is organized in a different way by creating a set of tables, essen- 
tially four tables. A first table called the application table allows to create fundamental couples between names of applications 
and secrete codes, such table being in principle recorded once for all, already at the chip card manufacturer. A second table modi- 
fiable as desired, called data table, allows for each application to create as many data tables as desired. A third table called the 
table of rights allows to grant, by an application, and on data tables created by said application, specific rights associated to utili- 
zations. A fourth table containing keys attached to an application allows to implement the ciphering fonction. In this way, a utili- 
zation is prevented from modifying or reading information recorded in the chip card, as for another application. The invention 
has the advantage with respect to the prior art to be more flexible and to introduce a subsequent modification. 
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(57) Abrege On organise d'une matiere differente Ie chargement de plusieurs applications dans une carte a puce en creant 
un ensemble de tables: essentiellement quatre tables. Une premiere table dite table des applications permet de creer des couples 
fondamentaux entre des noms d'applications et des codes secrets, elle est en principe enregistree une fois pour toute, meme deja 
chez la fabricant de la carte a puce. Une seconde table modifiable a volonte dite table des tableaux de donnees, permet a chaque 
application de creer autant de tableaux de donnees que Ton desire. Une troisieme table dite table des droits permet d'octroyer, 
par une application, et sur des tableaux de donnees crees, par cette application, des droits specifiques lies a des utilisations. Une 
quatrieme table contenant des clefs attachees a une application permet la mise en oeuvre de fonction de chiffrement On montre 
que de cette maniere on empeche a une utilisation de venir modifier ou lire des information enregistrees dans la carte a puce au 
titre d'une autre application. L'invention presente par rapport aux solutions de I'etat de la technique, l'avantage d'etre plus souple 
et de permettre une modification ulterieure. 
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PROCEDE SECURISE DE CHARGEMENT DE PLUSIEURS APPLICATIONS 
DANS UNE CARTE A MEMOIRE A MICROPROCESSEUR 



La presente invention a ete faite en collaboration 
avec I'Universite des Sciences et Techniques de Lille, 
Laboratoires CERIM et LIFL. Elle a pour objet un procede 
securise de chargement de plusieurs applications dans 
5 une carte amemoire munie d'un microprocesseur, dite 
souvent carte a puce. De telles cartes a puce ont 
typiquement trois types d- utilisation. Dans une premiere 
utilisation d' identification elles constituent des clefs 
permettant a leur porteur d'acceder a un lieu ou a un 

10 service. Dans une utilisation monetaire, elles sont soit 
prechargees avec des unites representatives d'une 
possibility de consommation chez un emetteur de cartes a 
puce (telecommunications en general), soit 1 • information 
qu« elles contiennent represente un solde d'un compte 

15 bancaire. Comme dernier type d- utilisation, on note le 
stockage de donnees s par exemple, dans un but de 
gestion de sa sante, chaque individu est muni d'une 
carte dans laquelle son dossier medical peut §tre 
enregistre, ou encore la carte peut remplacer une carte 

20 d'identite. 

La presente invention vise a permettre la 
coexistence, sur une meme carte, de ces differentes 
utilisations, sans que 1 'usage de la carte fait pour une 
application puisse nuire a 1 • utilisation de la carte 
25 Pour d'autres applications. Dans ce but, 1» invention 
procure un procede securise de chargement des 
differentes applications de maniere a ce qu» elles ne 
puissent pas interferer les unes avec les autres. 
L' invention couvre aussi la facilite de structuration 
attachee a une application et 1 • interrogation des 
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donnSes par application « De plus, le systeme permet 
d°offrir la possibility aux applications de laisser 
"voir" certaines donnees a certaines applications en 
toute confidentiality „ 
5 On connait un premier mode de gestion de plusieurs 

applications dans une seule carte « On va le d§crire 
ci-apres et on montrera que malgre les performances dont 
il dispose, ce procede de chargement connu rencontre 
certaines limitations,, Le procede de 1° invention 
10 montrera comment depasser ces limitations o 

La figure 1 donne un exemple d D un partage de la 
m§moire d'une carte 3. puce pour convenir a plusieurs 
applications o Une memoire d'une telle carte a puce est 
dans ce cas divisee physiquement en deux parties 
15 essentielles* Une premiere partie l de description 
contient des descripteurs, une deuxidme partie 2 
comprenant des zones de memorisation pure, Un 
descripteur est reprSsentatif d°une application, II 
comporte un certain nombre d« octets en langage binaire. 
20 Un premier octet 3 est dit octet identifianto II permet 
de designer 1 D application « Si, au moment d Q une 
transaction avec la carte, on presente un code secret et 
1 D identification de 1° application on aboutit 
immediatement dans le descripteur pour lequel 
25 l ff identifiant correspond au code secret presents • 

Un descripteur comporte aussi, a la suite de 
l°identifiant, une protection 4* Un premier octet de 
cette protection 4 concerne la protection en lecture des 
mots de la memoire, un autre octet concernant la 
30 protection en ecriture, un troisieme et un quatridme 
octet concernant 1 * ef f acement ou la mise a jour si par 
ailleurs la technologie (EEPROM) de la carte le permet * 
On pourra admettre par exemple que ces informations sont 
codees sur un bit de 1° octet de protection, valant zero 
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il empSche 1 5 action, alors qu'il l'autorise s'il vaut 
* un« De meme, en ecriture, on pourra admettre que le 

troisi&me bit (ou un autre bit) du deuxi&me octet de 
protection interdit l B <§criture si sa valeur est z£ro ou 
5 au contraire l°autorise si sa valeur est un (ou 
Sventuellement le contraire). De m§me, pour 1 0 ef f acement 
ou la mise a jour, 

Comme derniere partie essentielle, un descripteur 
comporte enf in un nombre 5 des mots memoires utilises 

10 par l fl application concern§e<, Ce nombre est code par 
exemple sur deux octets apres les codes de la protection 
4o Une application concernee par un descripteur peut 
ainsi contenir un nombre de mots memoires egal a un 
norabre quelconque t par exemple IB. Pour savoir oH se 

15 trouvent les mots de la mSmoire, dans la partie 2 de 
cette mSmoire, qui correspondent a cette application, 
une instruction du microprocesseur de la carte a puce 
calcule que la premi&re adresse des 18 mots autorisSs 
est &gale a la somme, augmentee de un, des mots alloues 

20 aux precedents descripteur s dans la liste des 
descripteurs de la carte a puce« La derniere adresse 
autorisSe est <§gale a cette somme augmentSe du nombre de 
mots indiqu€s dans le descripteur s c fl est-a-dire ici 18 „ 
Si, dans un exemple, un identifiant a correspondu 

25 au troisi&me descripteur, independamment de savoir si on 
pourra lire ou Scrire dans les mots memoires concernes, 
on saura que la zone m&moire allouee a 1 Q application 
correspond £ celle du descripteur 3, qu Q elle est plac§e 
apres celles allou§es a ces descripteurs 1 et 2 

30 respectivement, et que sa longueur est limit&e par le 
nombre de mots alloues a ce descripteur 3* 

Les micro-processeurs comportent done actuellement, 
dans leur jeu d 8 instructions, des instructions 
organisees en s§quence et stock§es d'une mani&re 
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definitive dans la memoire (ROM) de la carte a puce, au 
terme desguelles d'une part on sait reperer une 
application choisie, et d° autre part on sait limiter de 
manidre irremediable l°acces a un ensemble alloue de 
5 mots memoireso 

Pour crfeer de nouvelles applications, il est par 
ailleurs prevu dans ce jeu d • instructions une 
instruction de creation par laquelle il est possible 
d'ajouter un descripteur £l la suite des descripteurs 
10 deja presents (dans la mesure oil la place en memoire le 
permet) , et d 0 allouer a cette application d^crite par ce 
descripteur un nombre de mots memoires (1& aussi en 
fonction d 11 une place memoire disponible dans la carte) • 
La zone memoire allouee a une nouvelle application est 
15 completement indSpendante de celle allouee aux 
precedentes applications « 

Cette technique, avec le jeu d ff instructions 
associg, tout en 6tant efficace presents une premiere 
limitation qui est celle d°interdire a une application 
20 d°aller travailler dans la zone memoire rSservee a une 
autre application precedemment enregistr£e« Ceci est 
comprehensible puisque c 11 est le but sScuritaire du 
systeme 0 Cependant, dans certain cas, il est possible 
que le titulaire d°une application souhaite, dans une 
25 application complSmentaire que lui m§me programmer a it, 
acceder a une ou des zones memoires qu 0 il s 6 est 
precedemment allou§es. La ce n 0 est pas possible • La 
structure n B est pas souple e 

Pour donner un ordre d"id6e, on pourrait admettre 
30 dans une application bancaire qu'un banquier a d£ja 
autoris6, par une application enregistr&e et representee 
par un descripteur 1, au titulaire de la carte de 
pr61ever une certaine somme d° argent par semaine sur son 
compteo II pourrait par la suite vouloir autoriser ce 
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m&ne titulaire a effectuer des virements, compte a 
compte, a partir du compte bancaire represents par sa 
carte a puce. Cette deuxieme application/ dans la 
situation actuelle, doit etre entree completement 
5 independamment de la premiere. Ceci conduit a une 
duplication de certaines zones memoires, et a un 
probleme de leur gestion. Le solde present dans une des 
zones memoires d'une application est par exemple affecte 
par un retrait, alors que le solde, en theorie le meme, 
10 dans une autre zone memoire correspondant au virement, 
n'est pas correlativement debite de la somme 
correspondant au retrait. 

Dans ce cas, la solution consisterait pour le 
banquier a supprimer une des applications, et a entrer 
15 une autre application, en remplacement, qui comprendrait 
la totalite des instructions des applications 
precedentes. Ceci provoque une perte de place dans la 
carte. Comme par ailleurs on sait que les tailles 
memoires dans ces cartes sont limitees, on comprend que 
20 cette technique n'est pas sans inconvenient. 

En outre, les derniers octets du descripteur 
renseignent sur le nombre des mots utilisables dans la 
memoire, mais ceci n'est pas tou jours une bonne facon de 
proceder. En effet, en particulier dans les operations 
25 de stockage de donnees pures, on peut retenir comme 
longueur de mot memoire, soit des longueurs fixes s par 
exemple 30 octets (chaque octet pouvant etre affecte a 
un caractere) , soit une longueur variable. Mais dans ce 
cas, on doit, apres chaque information enregistree, 
30 faire apparaitre un octet (un caractere) separateur, par 
exemple correspondant en langage ASCII a une etoile ou 
une barre de fraction oblique ou autre. Une telle 
structuration presente 1 • inconvenient qu'elle nficessite 
d'etre connue d'une maniere precise par les programmeurs 
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qui utilisent les cartes, ce qui conduit dans certains 
cas a des lourdeurs d D utilisation « Meme pour une 
application tres simple il est necessaire de connaitre 
parfaitement tout le fonctionnement de la carte et du 
5 microprocesseuTo 

Par ailleurs, le format en longueur fixe peut, dans 
la plupart des cas, conduire a une perte de place 
systematique du fait d°un sur-dimensionnement des 
longueurs des mots pour palier tous les problemeso 
10 Les probl&mes de securite ou de droit d'accds aux 

donnSes de la carte sont lies a 1 1 emplacement de ces 
donnees dans la memo ire o 

L° invention a pour objet de remedier a ces 
inconvSnients et limitations, en proposant une structure 
15 et une organisation des donnees des applications dans la 
carte completement differente et dont la securite ne 
r requiert pas d'imposer aux donnfies des places 
particulieres en m&aoireo Dans cette structure, au lieu 
d°associer comme <§l§ment indissociable, d°une part un 
20 identifiant relatif a 1 D application, d» autre part des 
conditions de protection, et enfin des allocations de 
zones memoires avec lesquelles les applications 
travaillent, on a pr&f£re organiser les relations entre 
ces difffirents concepts de manidre hi§rarchique 0 
25 Comme on le verra par la suite, on cr§e d B abord une 

relation entre les applications, les identif iants, et de 
pr&f£rence des codes secrets « Cette relation est 
m§morisee dans la carte dans une table dite table des 
applications o Ensuite, on enregistre dans une deuxieme 
30 table, dite table des tableaux, les relations qui 
peuvent exister entre une application donn§e et un 
tableau de donnees avec lequel cette application 
travailleo Comme caracteristique principale, la creation 
d fl un tableau de donnees n B est autorisee que pour un 
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propriStaire d • application . Le tableau de donn§es 
concerne sera alors dit, dans la suite de cet expose , 
comme appartenant a l 8 applicationo Enfin, dans une 
troisidme table, dite table des droits, on organise les 
5 possibilities d 0 interaction des differentes applications 
et applications-utilisateur sur les tableaux cr6§So 

On distingue done ici des classes entre des 
applications, par exemple 1 5 application bancaire, et des 
applications-utilisateuro On verra que pour difference 

10 essentielle, entre les applications et les 
applications-utilisateur dans la table des applications, 
on alloue aux applications une possibility de mSmoire 
(pour cr£er des tableaux de donnees correspondant a 
cette application) , alors que les 

15 applications-utilisateur ne re?oivent aucune possibilite 
m§moire dans ce buto Les applications-utilisateur sont 
oblig§es pour travailler d°utiliser une partie de la 
m§moire qui leur aura 6t6 prStSe par une application . 

Comme avantage essentiel, le syst&me de 1 B invention 

20 permet la modification au fur et a mesure des tableaux 
de donn§es, la creation et la destruction, par le 
propri§taire d°une application, de ses 

applications-utilisateur, et la delegation, egalement 
par ce meme proprietaire d' application, de droits 

25 d°acc£s sur ses tableaux de donnees a d'autres 
applications ou applications-utilisateur • Les 
applications-utilisateur peuvent travailler sur des 
tableaux de donn&es d§jS presents dans la m&noire de la 
carte, dans la mesure oil. le titulaire de 1 • application 

30 le permet (table des droits) . 

Par ailleurs, on regie la question des Economies de 
place en mfemoire, en autorisant, dans la table des 
tableaux de donnSes, la possibilite syst£matique d 9 avoir 
des enregistrements de longueur variable. 
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L fl invention a done pour objet, un proc£d§ de 
chargement et de gestion de plusieurs applications dans 
une carte a puce, caracterise en ce que dans la m§moire 
de la carte a puce 
5 - on cr£e (CREATE) une table des applications 

(BANQUE, GARAGE, SEC SOC) , 

- on cr£e (MADE) un ou des tableaux de donnees 
propri£te de ces applications (BANQUE) , 

- on crfee (GRANT) des droits octroyables a des 
10 applications (RETRAIT) sur ces tableaux de donnees 

(TABLE1) , 

et en ce qu * on autorise 

- la gestion des donnees contenues dans un tableau de 
donnees en fonction d°une application en cours et des 

15 droits relatifs a cette application . 

Bien que, du point de vue logique, les applications 
et les applications-utilisateur aient une meme 
structure, les conditions d "utilisation qui les 
concernent sont diff^rentes*. Par ailleurs, 1° ensemble 

20 des operations dScrites etant "dynamique", des actions 
sur les tableaux ou la gestion des applications et 
applications-utilisateur peuvent intervenir dans tout le 
cycle de vie de la carte « 

L° invention sera mieux comprise a la lecture de la 

25 description qui suit et a l D examen des figures qui 
l B accompagnento Celles-ci ne sont donnees qu°a titre 
indicatif et nullement limitatif de 1° invent ion <> 
Les figures montrent : 

- figure 1 s la representation d§ja comment^e d B une 
30 organisation de la memo ire d'une carte a puce dans 

l°£tat de la technique ; 

- figure 2 % la representation sch&aatique d B une 
carte a puce selon 1 0 invention et son utilisation comme 
outil de transaction ; 
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- figures 3 a 5 t des representations precises 
respectivement des tables d 9 applications, des tables de 
tableaux et des tables de droits ; 

- figure 6 t des particularity d° organisation des 
5 donnees dans la table des tableaux ; 

- figure 7 % la consequence de 1 0 organisation de la 
table des tableaux sur le rangement des donn4es dans une 
memoire de donnees de la carte a puce ; 

- figures 8, 9 et 10 t des organigrammes de 
10 creation respectivement de chacune des tables selon 

1 8 invention o 

- figures 11 et 12 t des organigrammes dictions 
possibles sur le tableau de donn§es. 

La figure 2 repr§sente une organisation sch6matique 

15 d f une carte a puce selon 1 "invention, Cette carte a puce 
10 comporte, sur un support, un circuit electronique 
muni de moyens d D Schange avec le monde ext6rieur, non 
represents mais de type connu (metallisations de 
contacts) „ Ce circuit electronique comporte un 

20 microprocesseur 11 et une m§moire de donnees 12 (dans un 
exemple cette memoire de donnees 12 est du type EEPROM, 
c D est-S-dire qu B elle est programmable et eff arable) „ La 
puce de la carte a puce comporte aussi une memoire 
programme 13 (ROM) qui contient les instructions du 

25 microprocesseur propres a 1° invention. Selon ce qui a 
ete indique pr6cedemment, dans la memoire de la puce on 
reconnait, en plus de la memoire de donnees 12 , la 
presence d fl une table des applications 14, d'une table 
des tableaux 15, et d'une table des droits 16 . On 

30 remarque aussi la presence, ce qui sera explique plus 
loin, d°une table 17 des clefs de chiffremento La table 
17 etant particulidre, elle peut aussi etre dSfinie 
complementairement dans la table des tableaux 15. Ceci 
permet une transmission chif free des donnees lues dans 
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la mSmoire 12 o Le microprocesseur 11 est reliS au 
dif f erentes aemoires 12 & 17 par un bus de donnSes et 
d°adresses 110 * Une architecture type d'un 
microprocesseur est par ailleurs decrite dans le livre t 
5 OT Comprendre les Microprocesseur s" de Daniel Queyssac, 
Editions Radio, France 1983 o 

Lors de 1 0 utilisation d°une telle carte a puce 10 , 
celle-ci est introduite dans un lecteur 18 comportant 
lui meme un microprocesseur (non represents) 

10 susceptible d°e3cecuter avec la carte 10 un programme 19 
Sl l D aide d°un clavier 20, d'un moniteur de visualisation 
21 et d 9 une machine 22« 

Par exemple, comme represents sur le moniteur 21 
pour une application bancaire, un opera teur agissant sur 

15 le clavier 20 peut provoquer un retrait, et done 
provoguer 1° execution d'une partie du programme 19, par 
leguel la machine 22 lui distribuera des billets de 
bangue 23 „ En.m§me temps, le lecteur enregistrera dans 
la carte & puce (ou dans un systeme centralisS de 

20 gestion non represents) le debit du compte 
correspondant • 

On a indiguS d°une maniere schematigue sur l D ecran 
du moniteur 21 la presence de plusieurs applications 
possibles s une application BANQUE, une application 

25 GARAGE, line application SECSOC de sScuritS socialeo On 
aurait pu faire figurer d'autres applications par 
exemple, TELECOM pour telecommunication ou autre • 
L°intSret de 1 D invention vient de ce que differents 
operateurs, diffSrents Smetteurs dit encore 

30 propriStaires d° application, sans relations 
contractuelles les uns avec les autres, peuvent utiliser 
un m§me support et ce sans risgue que les actions 
effectuSes par un des propriStaires d" applications ou 
des utilisateurs ne viennent influencer les donnSes 
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enregistr£es dans des tableaux de donnSes appartenant a 
un autre proprifetaire d 8 application (on mesure 
facilement le risque que cela comporterait dans le 
domaine bancaire) o 
5 Par ailleurs, pour 1 0 application bancaire, on 

montre sur l°§cran du snoniteur 21, plusieurs 
utilisations possibles t figurant par exemple les 
utilisations RETRAXT, VIREMENT, VISUALISATION . On 
distingue done bien hiferarchiquement, d°une part les 

10 applications, et d° autre part des 

applications-utilisateur, Comme on le verra plus loin, 
ces applications et ces applications-utilisateur sont 
toutes enregistrees dans la table des applications „ 
Cependant la difference qui les d§partage reside dans le 

15 fait que les applications peuvent creer et exploiter 
(lecture ecriture, mise a jour, effacement) des tableaux 
de donn§es alors que les applications-utilisateur ne 
peuvent que les exploiter . Cette exploitation est 
controlee de deux manieres. D°une part, une allocation 

20 m€moire autorise l fl insertion d 5 enregistrements , ou de 
lignes, dans un tableau de donnees si cette allocation 
n°est pas nulle, D fl autre part la table des droits peut 
permettre & cette application-utilisateur d'inserer 
(INSERT), d'enlever (DELETE), de mettre a jour (MODIF) , 

25 ou seulement de sSlectionner (SELECT) un enregistrement 
dans un tableau de donnees sur lequel elle a repu ces 
droits 0 

La m&noire de la carte Stant partagee par plusieurs 
applications, lors de la creation des applications et 
30 des applications-utilisateur, une grandeur maximum de 
m&noire utilisable est dSfinie pour chaque application 
ou application-utilisateur. Dans son principe, cette 
information de grandeur est memorisee dans un compteur 
present dans la table des applications, lors de 
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l B adjonction de donn&es dans une ligne d'un tableau de 
donn€es par une application ou une 

application-utilisateur, le contenu du compteur est 
diminue du nombre de caractere insures. Dans le cas 
5 d°une destruction de donnSes dans une ligne du tableau, 
il est augments du nombre de caractere supprimes* Au 
lieu de caractSres, on peut aussi specifier, dans 
1° allocation memoirs, un nombre de lignes de 
renseignements % la taille de la ligne pouvant etre 
10 libre (dans la limite de la place disponible) <> 

Dans la description qui va suivre, on va presenter 
chacune des tables de 1° invention, en pr£cisant d'une 
part leur structure, et d° autre part les ordres auxquels 
elles r&pondent s c 0 est-a-dire les instructions que le 
15 microprocesseur est charge d'exScuter (a 1 B exclusion de 
tout autre) pour les cr§er et les modifier 0 

La figure 3 montre la table 14 des applications . 
Cette table comporte essentiellement quatre colonnes* 
Une premiere colonne est la colonne NOM D B APPLICATION » 
20 Une deuxiSme colonne est la colonne MOT DE PASSE de 
1° application o Une troisieme colonne est la colonne 
TAILLE MEMOIRE UTILISABLE* D'une maniere pref€r6e, bien 
que cela ne soit pas obligatoire, la colonne mot de 
passe de 1 0 application est elle meme partagee en deux 
25 parties, une premidre partie comportant le code secret 
lui m§me et une seconde partie, situSe apres ou avant la 
premiSre, contenant un nombre maximum d°essais que l B on 
est susceptible d B effectuer pour presenter le code 
secret afin de pouvoir entrer dans 1" application, De 
30 m§me que pour les tableaux de donnees, de pr6f§rence, la 
table des applications aura des colonnes dont la 
longueur est variable «. 

Par exemple le nom de I 1 application et le mot de 
passe de 1 11 application sont limit£s en longueur • Le 
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nombre d°essais de presentation du code secret, et 
l'espace m§moire utilisable seront m§moris6s, en 
longueur fixe, par una valeur cbntenues respect ivement 
dans un et deux octets o On verra plus loin comment il 
5 est possible de prfevoir des tailles variables * 

En rappel de ce qui est indiqufi pr6cSdemment, on a 
presents dans cette table six enregistrements 141 a 
146 s les trois premiers reprSsentent des applications 
proprement dites avec une taille de m&noire utilisable 

10 diff&rente de 2§ro, les trois derniers reprSsentent des 
applications-utilisateur avec elles aussi une taille 
m§moire . utilisable non nulle e Ces 

applications-utilisateur ne pourront pas ult§rieurement 
creer des tableaux de donnees* Pour les distinguer des 

15 applications, elles comportent dans une quatridme 
colonne une indication ici u, mentionnant leur type s 
application-utilisateuro Les applications proprement 
dite comportent en correspondance une indication A* Bien 
entendu, d«autres symboles sont utilisables, ce qui 

20 compte c 11 est de dif f firencier . 

Pour simplifier, on a attribue & chaque 
application, un mot de passe s pour 1 8 application BANQUE 
il s'agit du mot de passe FORTUNE, pour 1 D application 
GARAGE il s°agit du mot de passe AUTO, pour 

25 1 9 application sScurit§ sociale il s'agit du mot de passe 
SANTEo Pour les trois utilisations respectivement 
RETRAIT, VIREMENT, VISUALISATION, les mots de passes 
sont USE1, USE2, et USE3o 

La figure 8 montre 1° operation de creation de la 

30 table des applications „ Cette creation est normalement 
effectuSe par le fabricant de la carte & puce ou par une 
entitfi Smettrice ayant obtenu auprds du fabricant le mot 
de passe d'une application SYSTEME* Pour simplifier la 
description on considSrera que c'est le fabricant de la 
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carte a puce qui fait cette operation „ On appellera 
cette operation,, par habitude, personnalisation de la 
carte, cette operation consiste a introduire dans la 
carte les applications BANQUE, SECSOC et GARAGE * Celui 
5 qui realise la personnalisation attribue des codes 
secrets de pr&f§rence par un procSde alSatoire, aux 
applications o Ces applications pourront lors de la 
premiere utilisation de la carte changer ce code (CHANGE 
CODE) et s D attribuer un code qui ne soit connu que 
10 d'elles seuleso 

Avant que les cartes soient livrSes nues, avant 
leur personnalisation avec les diffSrentes applications, 
on peut consid§rer neanmoins qu'elles comportent, du 
fait de 1 0 existence des instructions du microprocesseur 
15 d'une part et de 1 D organisation en tables d» autre part, 
une application systdme avec laquelle il va etre 
possible de programmer la carte o 

Le programme systdme comporte une instruction 
PRESENT qui doit etre suivie dans sa syntaxe du nom de 
20 1° application concernSe* Pour faciliter la gestion 
interne du syst&me, la table des applications contient, 
au moins au d&but, une application particuliere appelee 
SYSTEMEo Le syst&me contient le microprocesseur, la 
mSmoire et le programme rfealisant les fonctionnalites de 
25 1 D invention* Ce programme est contenu en ROMo Dans le 
reste de cette description on parlera d * instructions du 
microprocesseur pour qualifier les fonctionnalites du 
systSmeo L * instruction PRESENT a pour objet de chercher 
a comparer un code secret dej& enregistrS dans la carte 
30 a un code secret propos§ par l B op6rateur avec un clavier 
comme le clavier 20* 

En pratique, l D op§rateur introduit la carte dans le 
lecteur 18 et envoie avec le clavier 20 les instructions 
pr§c§dentes i PRESENT SYSTEMS <, Puis le code secret, 
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SECRET, est entr€ au clavier, et l'operateur valide 
cette entrfieo Une verification est alors entreprise pour 
savoir si le code secret SECRET entre par le clavier est 
le m§me que le code secret SECRET precedemment 
5 enregistre dans la carte o Le code secret precedemment 
enregistre dans la carte est le code secret fondamental 
de la puce s il est normalement stocks dans une partie 
sp§ciale de la memoir e<, Cette partie n°est pas 
accessible a 1 8 exterieur de la carter Seul le systdme de 

10 la carte y a acc&So En cas d°6chec de la verification, 
on about it star un programme de rejet* 

Le programme de re jet peut comporter l'autorisation 
de representer le code secret a nouveau, autant de fois 
au total que cela est permis pour 1* application . Par 

15 exemple, dans le cas de 1 "application systeme on a le 
droit de ne presenter qu'une fois 0 Pour assurer cette 
fonction, 1 0 instruction PRESENT du microprocesseur 
comporte dans l°ordre les actions suivantes % 

1) le chargement du nombre de presentations dans un 
20 registre interne du microprocesseur, 

2) 1 0 incrementation d°un compteur de tentatives a 
chaque tentative, 

3) la comparaison du compteur et du nombre charge, 

4) le branchement conditionnel sur un re jet 
2 5 d6f initif ou une autre tentative <, Le compteur de 

tentatives fait partie de la carte a puce* 

Le programme de re jet comporte done un compteur de 
tentatives, parametrable par le nombre autorise de 
presentation du mot de passe, qui, lorsqu°il est plein 
30 provoque le re jet proprement dit de la tentative • En 
pratique, ce re jet de la tentative peut conduire le 
systdme exterieur (lecteur 18) a retenir def initivement 
prisonniSre la carte 10 et d'une manidre connue en soi a 
1'orienter vers un receptacle d'oil son porteur ne peut 
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la retires: o 

Si la verification a 6t£ faite avec succes, a ce 
stade de la fabrication, done chez le fabricant de 
cartes & puce, on ne peut ex£cuter qu°un ordre s 1 9 ordre 
5 CREATE o Par cet ordre CREATE, on peut enregistrer toutes 
les applications et les applications-utilisateur qu°on 
veuto Avec cette operation, le fabricant peut insurer 
des applications dans la table 14 des applications qui 
est aussi celle des applications-utilisateur. Pour cela, 
10 il suffit d'envoyer a la carte 1 D ordre CREATE, suivi du 
nom de 1° application, du code secret attribu6 a cette 
application, de l 0 espace m&noire utilisable par cette 
application et du nombre autorisS de tentatives 
infructueuses de presentation de code secret pour cette 
15 application o Pour distinguer les 

applications-utilisateur des applications on ajoute a 
cet ordre soit un parametre A pour les applications et U 
pour les applications-utilisateuro Ou encore, de 
preference, la carte dispose d°un couple d°ordres CREATE 
20 APPLICATION et CREATE APPLICATIONUSER dont les 
paramdtres sont les memes que pour le CREATE precedent, 
mais qui placent alors automatiquement les indications A 
ou U respect ivemento On entre ainsi les enregistrements 
141 S 146 o Lorsque toutes les applications des 
25 utilisations sont crSSes dans la table 14, on peut 
envoyer une instruction CLOSE avec le clavier 20* 

Cette instruction CLOSE a pour objet de faire 
basculer, par exemple d°une manidre d§finitive, la 
possibility d°inserer des applications avec 1 D ordre 
30 CREATE APPLICATION „ En effet, si le fabricant ne 
connait pas toutes les applications au moment de la 
personnalisation, on pourra plus tard et a condition que 
1 11 ordre CLOSE n'ait pas ete lance, en refaisant un 
PRESENT SYSTEME suivi du bon code secret, inserer 
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d'autres applications, L°ordre CLOSE permet de fermer 
cette fonctionnalite en invalidant 1" application 
SYSTEMS o En fait 1° application SYSTEME est alors tout 
simplement enlevSe de la table des applications o Elle ne 
5 peut plus ensuite etre reconnue par la carte „ Par 
contre, les applications peuvent garder le droit de 
crSer des applications-utilisateur avec l°ordre 
CREATE-APPLI CATION USERo 

. Cette invalidation est, sur le plan materiel, 

10 pbtenue par le claquage d'un fusible, ou par le 
basculement irremediable d°une cellule memoire d'une 
memoire de type EPROM d'un etat logigue dans un autre ♦ 
L 8 operation CLOSE peut etre suivie d°une operation 
REBOOT de redSmarrage de la carte t 1 8 alimentation 

15 eiectrique de la puce doit etre coupSe puis restaurSe. 
Dans ce cas, la table 14 des applications est fig£e 
dfifinitivemento Si on ne lance pas 1° instruction CLOSE 
la carte n'est pas verrouiliee* 

On a represents sur la figure 3, 1 B association des 

20 clefs de chiffrement avec les applications o Ceci 
signifie que la table 14 des applications peut 
comporter, comme cinqui&me colonne, une colonne 
representative des clefs de chiffrement* Dans ce cas, 
les clefs de chiffrement doivent Stre indiquees une fois 

25 pour toute s elles ne sont jamais modif iables puisque la 
table 14 peut ne plus etre accessible aprfes l B ordre 
CLOSE o En pratique, et contrairement a ce qui est 
indique pour simplif ier sur la figure 3 , il y aura une 
table 17 des clefs de chiffrement dans laquelle seront 

30 associees une S une les applications et les clefs de 
chiffrement- La table 17 des clefs de chiffrement etant 
modifiable s on pourra modifier pour chaque application 
la valeur de la clef „ 

Les chiffrements dont il est question ici sont des 
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chiffrements de types DES ou RSA connus par ailleurs 
pour lesguels le paramStrage du chiffrement necessite 
vine clef , dite secrete guand elle n°est connue que par 
un utilisateur et qu°elle n B est dSpendante que d°une 
5 seule utilisation, ou dite publique lorsqu°elle est 
commune a tous les utilisateurs de 1° application • Le 
chiffrement d 11 une donnSe consiste a modifier cette 
donn&e selon un tel algorithme ainsi param§tre „ Le 
microprocesseur est muni d D une mahi&re connue des 
10 instructions necessaires a l fl execution d°un tel 
algorithmec Par ce principe, le microprocesseur de la 
carte peut mettre en oeuvre les clefs de chiffrement 
attachees a une application sans que les applications 
aient k partager des clefs « La table des clefs doit 
15 contenir a chaque ligne la clef et 1 "application a 
laquelle elle est destin£e 0 

La figure 4 montre la table des tableaux de donnees 
15 o Cette table n D est pas fermee dSf initivement dans la 
carte t elle peut etre compl£t€e ou modif iee tout le 
20 long de la dur£e de vie de cette carte « Pour simplifier, 
on a indique que 1° ordre execute par le microprocesseur 
pour crSer un enregistrement dans cette table est un 
ordre MADE* Cet ordre MADE est associable a un ordre 
REMOVE par lequel il est possible de supprimer un 
25 enregistrement • La table des tableaux 15 est montr§e 
sous une forme theorique dans la figure 4 et sous une 
forme r§elle dans la figure 6o Elle comporte 
essentiellement, confer figure 4, 1 9 association d°un nom 
d° application, d D un nom de tableau et d°une description 
30 des colonnes du tableau de donn§es que I 11 on cr§e„ De 
plus, de maniere prSferee la table des tableaux 15 
comporte des colonnes relatives a des pointeurs, ici 
trois types de pointeurs, ainsi qu'une colonne relative 
au nombre de colonnes du tableau de donnfies lui m§roe, et 
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enfin une autre colonne r<elative au type du tableau, T 
pour tableau et V pour vue, represents par 
1 8 enregistrement . 

Sur la figure 4 on remarque qu°on a affects a 
5 chacune des applications principales un tableau, 
respectivement TABLE1 a 1 fl application BANQUE , TABLE2 a 
1 1 application GARAGE, TABLE3 & 1 0 application SECSOC* On 
voit qu'il n°y a pas de tableau propres aux 
applications-utilisateur indiqufees pr6c6demment, parce 

10 que ces derniSres Stant munies de 1 11 indication U il leur 
est interdit de cr&er des tableaux. Ces 
applications-utilisateur ne peuvent qu ■ inserer , 
modifier, ef facer ou selectionner des donnees dans des 
tableaux d§ja cre£s (si des droits ont €t€ accordes en 

15 ce sens) . 

La table 15 des tableaux de donnees est cr&ee au 
fur et a mesure par les proprietaires des applications 
selon 1 0 organ igramme presents sur la figure 9» Pour 
cr&er un tableau, par example TABLE1 , , dans la table 15 

20 des tableaux de donnees, un proprietaire d 8 application 
exScute, coxniae prficedemment, un ordre PRESENT, dans le 
cas present "PRESENT BANQUE" <> Dans ce cas, le 
microprocesseur selon 1 0 algorithme deja etudie 
precedemment demand© que puisse etre verif iee la 

25 concordance du code secret, associe a BANQUE dans la 
table 14, ici "FORTUNE", avec un code secret entr§ au 
clavier . En cas de succds de cette verification, on peut 
executer les ordres MADE ou REMOVE « 

Tous les ordres, y compris 1 8 ordre PRESENT, sont 

30 executes alors que le microprocesseur de la carte est 
en RECEPTION D 8 ORDRE t il attend une solicitation 
ext&rieure* DSs qu'un ordre est envoys, (par exemple par 
le clavier) cet ordre est d°abord analyse par 
comparaison aux ordres possibles pour le 
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microprocesseur <» Si 1° ordre est erron§, interdit ou mal 
re?u, a 1° issue de 1° analyse la carte se remet en 
attente de RECEPTION D fl ORDRE e Dans le cas contraire, 
1° execution est commencee* En ce qui concerne I 5 ordre 
5 PRESENT il provoque 1 0 inscription dans un registre du 
microprocesseur , dit registre de 1 0 application 
courante, du nom de 1 0 application pour laquelle cet 
ordre PRESENT est lanc£<, Par exemple, ce registre 
d° application courante est charge des noms SYSTEM ou 
10 BANQUE dans les deux exemples repr€sent§s Figures 8 et 9 
respectivement. Apres ce chargement, la comparaison du 
code secret s B effectue et provoque 1 9 inscription, en cas 
de succes, d°une indication OUI, similaire, dans un 
registre de code secret du microprocesseur o Ensuite, le 
15 microprocesseur se remet en attente d » ordre . Pour 
exScuter les ordres MADE ou REMOVE, le microprocesseur 
vSrifie aprfes 1 D analyse de ces ordres que 1 * application 
(BANQUE) pour . laquelle ces ordres ont 6t6 lances est 
associSe, dans la table 14 des applications, a une 
20 indication de type A permettant la creation de tableau 
de donn§es<> Si 1° indication est U la creation ou la 
suppression sont interdit es. 

Avec 1 D ordre MADE, le programme automat ique lis a 
cet ordre porte le contenu du registre d° application 
25 courante a I'endroit, dans la table 14, du nom de 
1° application • C 0 est automat ique . Dans 1 B exemple oil on a 
affaire a 1 0 application BANQUE, ce nom d" application est 
port<§ automatiquement par le microprocesseur dans la 
colonne correspondante* On doit ensuite specifier, selon 
30 un ordre predetermine, le nom de la table et dSfinir la 
table et les colonneso La definition de la table 
comporte essentiellement la designation du nombre de 
colonnes et, pour chaque colonne, la designation du type 
de la colonne s colonne a longueur variable ou a 
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longueur fixe* II faut aussi indiquer la longueur 
maximum de la colonne (que se soit a longueur variable 
ou a loncpaeur fixe) <>. De maniSre prSf6r£e cette longueur 
sera comprise entre 1 et 255 . Enfin, il faut donner S 
5 claque colonne du tableau de donn£es un nom<> La 
description des colonnes doit se faire en autant de fois 
qu°il y a Ses colonnes 0 On dSfinit <§galement le type de 
la table T pour table et V pour vue 0 On verra plus loin 
& guoi correspond ce type<> 

10 , & la fin de l D ordre MADE le systeme retourne en 
r<&ceptioB d°ordre* Si on execute un ordre REMOVE, on 
suppr-ime un enregistrement dans la table 14 & condition 
que l°on soit propri£taire de 1° application : 
c 0 est-a-dire qu'on soit susceptible de rentrer au 

15 prealable i. la fois le nom de 1 0 application et le code 
secret attache I cette application „ La table des 
tableaux de donn6es crie uhe relation de propri£t§ entre 
le propri&taire de 1° application et le tableau o 

La figure 6 montre, d°une mani&re plus dStaillee, 

20 comment est constitute la table 15 des tableaux de 
donn&es* De manidre a ne pas perdre de place, cette 
table des tableaux de donntes comporte des indications 
tendant a compacter le stockage de donnSes dans la 
*a§moire 12 de donnfieso En regardant le haut de la figure 

25 6, on distingue trois premiers pointeurs t les pointeurs 
XX, YY„ et ZZo Ceci signifie que chacun d*eux est dfecrit 
sur deux octets <> Chaque pointeur reprfesente une adresse. 
L 6 exesiple montrfe juste en=dessous du haut de la figure 6 
permet de se faire une id6e de la signification des 

30 diffSrents <§l€ments« Ainsi, le premier pointeur XX 
aarque l g adresse relative, dans la partie de la mimoire 
12 qui contient la table 15, de la fin de 
1 B enregistrement qui est commence par ce pointeur* 

Comma on le verra plus loin, 1 1 enregistrement en 
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cause dans l°exemple comporte cinquante huit caract&res 
et par consequent le code XX comporte I'adresse 59 * Ceci 
signifie que pour aller regarder une description d°un 
tableau de donn€es suivant il f aut parcourir cinquante 
5 neuf octets suppl£mentaires<> Ceci permet rapidement au 
microprocesseur de verifier quels sont les tableaux de 
donn§es auxquels il peut avoir acces pour une 
application concerneeo 

lie deuxiSme pointeur YY donne l fl adresse du premier 

10 enregistrement stocke dans la m6moire de donnees qui est 
dScrit selon le tableau de donnees 6tudie» Par exemple, 
si YY vaut 200 la premiere information enregistr6e dans 
la memoire de donnees 12 selon la structure du tableau 
de donnees §tudi§ se trouve a l°adresse 200, voir figure 

15 7o Le troisiSme pointeur ZZ indique I'adresse du dernier 
enregistrement relatif au tableau «, Compte tenu de la 
description du tableau en cause et du fait qu°il n a y a 
qu D un enregistrement, cette adresse ZZ vaut aussi ici 
200 comme YY (Figure 7) « 

20 A la suite des pointeurs, sur un caractdre, on 

indique le nombre de colonnes de la table o Dans le cas 
de 1° application bancaire, ce nombre de colonnes est 
egal a 7 (voir figure 4) <, Puis on indique le type du 
tableau, lui aussi sur un octet „ Dans le cas present, il 

25 s°agit d°un tableau, on indique alors une lettre To S°il 
s°agissait d ff une vue on aurait fait apparaitre une 
indication V (ou autre) o On indiquera par ailleurs 
quelle difference il y a entre les tableaux et les vues. 
Puis on indique le nom du tableau e Ici, d°une manidre 

30 pr6fer€e, on fait preceder 1 8 indication du nom du 
tableau d 8 un octet dont la signification est le nombre 
de caractSres (d B octets) de ce nom de tableau* 
S'agissant du tableau TABLE1 dont le nom comporte six 
caractSres, on portera dans cet octet la valeur 6, Le 
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nom du tableau est alors donne sur six octets o On 
remarquera qu B on peut accepter tous les caracteres 
standard, sauf des caracteres correspondant a des 
caracteres de contrdle du microprocesseur, mais que par 
5 ailleurs un noia de tableau sera interdit s°il existe 
dSja pour une autre application L°ordre MADE realise 
cette verification o Le nom de 1 fl application dans le 
tableau de donnees pourra etre entre lui aussi en etant 
precede d°un octet dont la valeur est 6gale au nombre de 

10 caracteres de ce nom de 1 8 application- Dans le cas 
present, on a aussi choisi 6, de ce fait les noms 
d° applications dans la table 15 ne peuvent avoir que six 
caracteres • Si 1 11 inscription du nom de 1 9 application est 
automatigue, on pourra reprendre ce nom tel qu°il existe 

15 dans la table 14 , c 8 est-i-dire en longueur fixe ou en 
longueur variable „ Dans ce dernier cas, on reporte aussi 
sa longueur o Puis, autant de fois qu'il y a de colonnes 
dans le tableau de donnees, on indiquera, sur un 
caract&re le type de la colonne, sur un autre caract&re 

20 la longueur de la colonne, et enfin, precede de son 
nombre de caractSres, le nom de la colonne 0 Dans 
l°exemple represents sur le bas de la figure 6, on a 
represents sept colonnes avec & chaque fois un code "1" 
representatif d°un type de colonne a longueur fixe 0 

25 Cette longueur fixe elle m§me etant fixe 6gale a 9 pour 
les trois premieres colonnes, & 3 pour la guatriSme 
colonne, k 9 pour la quatri&ae colonne, S 15 pour la 
sixiSme colonne et a 9 pour la septieme colonne o Puis 
les noms de ces colonnes sont donnes a chaque fois en 

30 etant precede du nombre de caractere dans ces noms. II 
s p agit IS de renseigner le nom, le prenom, la rue, le 
numero, la ville, le numero de compte, et le solde 
bancaire d 9 un individu titulaire de la carte « L'ordre 
MADE permet aussi au microprocesseur de verifier que la 
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taille mgmoire est plus petite que la taille m§moire 
alloueeo Pour cela, il se sert des longueurs maximums 
indiqu^eso Leur some soit §tre inferieure a la taille 
alloueeo 

5" La figure 7 montre, dans la mSmoire de donnfies 12 

de type EEPROM, les enregistrements correspondants . On 
remarque qu°on a choisi ici des enregistrements a 
longueur fixe, mais on pourra pr6f§rer choisir comme 
prec&demment des enregistrements a longueur variable , ce 

10 qui permet, pour des mots courts , de compacter la zone 
occupee dans la memoire 7. Le caractere s6parateur entre 
les mots a. longueur variable est done induit dans 
1 D invention 1) par la structure de description, et 2) 
par la valeur .de 1 11 octet qui pr§cSde 0 Un utilisateur qui 

15 programme sa carte (dans la mesure ou 1 D application le 
lui permet) n"a done pas & se prSoccuper de ce 
probl&me<> 

On va frtudier maintenant la table 16 dite table des 
droits o Dans cette table , un proprietaire d fl application, 

20 par exemple une banque proprietaire de 1 1 application 
BANQUE, va pouvoir octroyer a des 

applications-utilisateur, RETRAIT, VIREMENT , 

VISUALISATION , des droits d a utilisation SELECT, INSERT, 
MODIF, DELETE sur des enregistrements de sa table ici la 

25 TABLElo Autrement dit, un utilisateur qui mettra en 
oeuvre une application-utilisateur pourra effectuer des 
transactions sur les donnees. Ces transactions sont 
autoris&es selon le mode dScrit dans cette table des 
droits o Pour remplir la table 16, on effectue, confer 

30 figure 10, une meme suite d D operations * On lance l'ordre 
PRESENT, associe a l 1 application concernie % par exemple 
PRESENT BANQUE * Puis on presente le code secret 
FORTUNE o 

En cas de succes, on peut, avec un ordre de 
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creation, dit GRANT , crfier des droits, ou les revoguer 
avec un ordre d 9 annulation REVOKE* Dans une operation 
d 5 octroi de droit, on designs d°une part le tableau sur 
lequel on octrois les droits, ensuite le nam de 
5 l°applications=utilisateur pour laquelle ces droits sont 
octroy§s, et enfin le type des droits octroy§s<> Avec 
l" ordre GRANT le microprocesseur vSrifie, a l fl aide de 
la table 15 , que le tableau (par exemple TABLE 1) 
concern^ est bien liS & 1 0 application (BANQUE) au titre 

10 de laquelle on octroie les droits. Cette verification 
utilise le nom de 1 D application courante charg^e dans le 
registre pour acc§der k la table 15 . Les droits octroyes 
peuvent Stre codSs sur quatre octets, un premier octet 
concerns la lecture et correspond a une selection, les 

15 trois autres correspondant, respect ivement et dans 
1° ordre, a une insertion de donnees, a une modification 
des donnees, ou a une suppression des donnees 0 

Ces droits correspondent aux ordres vus plus haut* 
Tout proprifitaire d° application, proprietaire du tableau 

20 de donn§es associfi, peut entrer a tout moment des 
nouveaux droits sur ces tableaux dans la table des 
droits 16 ou en enlever« 

Pour le chiffrement, le fonctionnement est le 
suivanto Au moment oft, au titre d 8 une utilisation (par 

25 exemple RETRAIT s figure 3), des donnfies sont extraites 
de la mSmoire de donn6es 12, elles sont chiffr&es par un 
algorithme automat ique de chiffrement RSA (ou autre) 
propre au microprocesseur param§tr§ par la clef (CLEF1) 
de 1 5 application ou de 1 8 applications-utilisateur en 

30 cause . En consequence, quand ces donnSes sont transmises 
de la carte 10 au lecteur 18, elles le sont dans un Stat 
chiffre e Bien entendu, le lecteur comporte un meme 
algorithme de chiffrement et connait, par ailleurs, la 
clef (CLEF1) relative a cette application ou 
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application-utilisateur pour dechiffrer les informations 
transmiseso De cette fa?on, une application peut 
autoriser tine transaction sur les donnges d°un tableau 
qu fl elle gere sans craindre de r§v£lation<> 
5 On va dScrire maintenant la structure des 

instructions du microprocesseur qui lui permet 
d'executer tous les ordres qui sont SELECT, INSERT , 
JJODIF et DELETE o 

Pour executer les ordres SELECT, INSERT, MODIF ou 
10 pELETE, on execute d§ja comme vu precSdemment un ordre 
PRESENT o Dans le cas present, cet ordre PRESENT sera 
suivi du nom de l°application-utilisateur (ou aussi de 
1 5 application) pour laquelle ces ordres sont a executes 
II est Sgalement suivi de la presentation du code secret 
15 affects o En cas de succes, le nom de 
l°application=utilisateur est porte dans le registre de 
1 0 application courante et 1 5 indication 0UI est portee 
dans le registre de code secret o Pour ne pas avoir a 
paraphraser dans la description 1 B ordre des operations, 
20 on se reportera aux dessins concernese 

L° ordre SELECT peut Stre lanc§ de la mani&re 
suivante« Sa syntaxe comporte SELECT, suivi du nom de la 
table, et suivi d°un ou plusieurs crit£res de selection • 
Un critSre de selection comporte ton nom de colonne, un 
25 op§rateur et une valeur e L°operateur peut etre s 6gal, 
different, superieur, inferieur, infer ieur ou egal, ou 
sup&rieur ou egal ■• Les criteres de selection peuvent 
Stre multiples « Dans ce cas, la syntaxe de 1 8 ordre 
SELECT comporte tout simplement, a la fin et se suivant 
30 les uns les autres, les diff§rents critdreso La figure 
11 montre 1 0 organigramme de 1 8 ordre SELECT 0 Dans cet 
organigramme on verifie que les selections sont 
correctement indiquSeSo En fin de selection, le resultat 
des selections est stock§ dans un registre de selection- 
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Le fait que 1 0 application a (ou n B a pas) des droits sur 
le tableau de donne est extrait de la table des droits 
16 o L • existence du tableau de donn&es, et, dans ce 
tableau de donn&es, d°une ou des colonnes ayant les noms 
5 spScififis est extrait de la table 15 des tableaux de 
donn€eso Une fois que la ou les donnees select ionnfees 
ont Ste rangies dans le registre de rSsultat on peut 
faire avec cette ou ces donnees toute operation de type 
connuo 

10 L° ordre INSERT, figure 12, possdde les memes Stapes 

antecSdentes que 1 0 ordre SELECT avant Ac La syntaxe de 
cet ordre comporte cet ordre INSERT, suivi a la file de 
toutes les valeurs & inscrire, dans 1° ordre oil elles 
doivent §tre inscrites. Pour executer cet ordre, le 

15 microprocesseur vfirifie que l g allocation memoire de 
1° application et que la taille memoire utilisable est 
suffisanteo Les zones de la table 14 oH sont rang§es ces 
tailles mSmoires utilisables sont des zones eff arables 
et modifiables, de prSf&rence de type EEPROM. En effet, 

20 aprds 1° insertion, la valeur enregistree dans une telle 
zone, pour 1° application concern§e est d£cr£xnent§e de la 
place occupfee par la taille de 1* insertion qu°on vient 
de faire o Ceci explique qu°une application-utilisateur 
dont la taille m&moire utilisable est nulle (des le 

25 depart ou par suite d'exfecution d * insertion) ne peut pas 
effectuer d* insertion dans le tableau de donn£es<> 

L 1 ordre DELETE est du meme type que 1 8 ordre INSERT, 
sauf qu tt il fonctionne a l'envers« Dans ce cas, le 
compteur est increments a 1' issue „ Cependant, pour 

30 eviter qu°une application-utilisateur, qui n°a dds le 
depart aucune taille m§moire utilisable, ne puisse en 
acqu§rir une sur un tableau de donnees, on vSrifie au 
prealable, dans la table des droits 15 que l 8 ef faceinent 
est autorise. Cette verification est du meme type que la 
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verification du droit & executer I'ordre d° insertion • 

L°ordre MODIF de mise a jour comporte la meme 
syntaxe que l°ordre de selection suivie du nom d°une 
colonne puis d*une valeur e Ceci signifie qu fl on place la 
5 nouvelle valeur, dans la ou les lignes s§iectionnees, a 
l tt endroit de la colonne specif iee« La mise a jour peut 
aussi permettre de mettre a jour plusieurs colonnes 
diffSrentes, correspondant neanmoins a des memes 
criteres de selection . 

10 Les vues V sont des sous-tableaux . Elle permettent 

d B avoir accds directement a des enregistrements qui 
correspondent dans un tableau de donnees a des 
selections sur des donnees . Les vues sont declarees, 
dans la table 15 des tableaux de donnees de la m§me 

15 fagon que les applications ou applications-utilisateur« 
La seule difference porte sur les specifications des 
colonnes qui s'apparentent, dans leur cas, a une 
selection . Ces specifications de colonnes comporte done 
d°une part le nom du tableau de donnees (par exemple 

20 TABLE2) sur lequel porte la selection et d-' autre part, 
la selection elle meme. Cette selection est indiquees 
dans les memes termes que la syntaxe de I'ordre SELECT 
vu precedemmento Dans la table 15 , les 
applications-utilisateur concernes par les vues peuvent 

25 recevoir des droits de selection et de modification mais 
de preference pas d 8 insertion ni d fl effacemento 
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REVEB&BXCATXOHS 

1 - Proc6d§ de chargement et de gestion de 
plusieurs applications dans une carte a puce, 
caract&rise en ce que dans la memoire de la carte a puce 

- on cr&e (CREATE) une table des applications 
5 (BANQUE, GARAGE, SEC SOC) en associant dans cette table 

des noms d° application a des mots de passe et a une 
taille memoire utilisable, 

- on cr£e (MADE) , dans une table des tableaux de 
donnees, un ou des tableaux de donn§es propriete de ces 

1° applications (BANQUE) en associant a des noms de 
tableaux de donnSes ces noms d 9 application, 

- on cree (GRANT), dans une table des droits, des 
droits octroyables a des applications (RETRAIT) sur ces 
tableaux de donn&es (TABLE1) , en associant des noms 

15 d 8 application, des noms de tableaux de donn&es et des 
droits octroyables a ces applications sur ces tableaux 
de donnees, 

et en ce qu'on autorise 

- la gestion des donnees contenues dans un tableau 
20 de donn€es en fonction d°une application en cours et des 

droits relatifs a cette application « 

2 - Proc6d6 de chargement et de gestion de 
plusieurs applications dans une carte a puce, 
caract£ris6 en ce que dans la mSmoire de la carte & puce 

25 - on cree (CREATE) une table des applications 

(BANQUE, GARAGE, SEC SOC) oil on affecte & chaque 
application un code secret d'acces (FORTUNE, AUTO, 
SANTE) et une allocation memoire, 

- on cree (MADE) , dans une table de tableaux de 
30 donnees, des tableaux de donnees en associant un ou des 
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nom de tableaux de donnees (TABLE1) a chacune des 
applications (BANQUE), 

- on crSe (GRANT), dans une table des droits, des 
droits octroyables a des applications (RETRAIT) sur ces 
tableaux de donn&es (TABLE1) , en associant des noms 
d° application, des noms de tableaux de donnees et des 
droits octroyables a ces applications sur ces tableaux 
de donnees, 

et .en ce gu fl on autorise 

- la creation ultSrieure de tableaux de donnees 
(TABLE1) pour une application (BANQUE) si on presente 
avec succes le code secret (FORTUNE) associS £ cette 
application et si 1° allocation mSraoire pour cette 
application le pennet, 

- la creation de droits ultSrieure sur des tableaux 
de donnSes (TABLE1) si on presente avec succes le nom de 
1° application (BANQUE) pour laquelle on a cree cette 
table et/ou le code secret (FORTUNE) de cette 
application, et 

- la gestion des donn§es contenues dans un tableau 
en fonction de 1° application en cours et des droits 
octroyes relatifs a cette application- 

3 - Procede selon la revendication 1 ou la 
revendication 2, caracterise en ce qu B on cr&e dans la 
table des applications des applications et des 
applications-utilisateur, une application disposant du 
droit de creation (CREATE) d'applications-utilisateur, 
du droit de creation (MADE) de tableaux de donnees, et 
du droit d D octroyer (GRANT, REVOKE) des droits a des 
applications ou applications-utilisateur sur ses propres 
tableaux de donnSes, une application-utilisateur ne 
disposant d°aucun de ces droits . 

4 - Procede selon I'une quelcongue des 
revendications 1 a 3, caracterise en ce qu'on cree une 
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table de clefs de chiffrement associ&es chacune a une 
application pour n'autoriser le transfert de donnSes 
contenues dans la carte que sous une forme chiffrfee 
dependant d c un algorithme de chiffrement paramfitrS par 
5 cette clefo 

5 - Proc&d€ selon l'une quelconque des 
revendications 1 a 4, caract6ris§ en ce que, dans la 
table des applications, on affecte & chaque application 
un .nombre maximum d • essais de transactions avec la carte 

10 dans cette application . 

6 - Proc€de selon l Q une quelconque des 
revendications 1 £ 5, caracterisg en ce que, dans la 
table des tableaux on indique comme description pour 
chaque tableau au moins un des elements suivantss 

15 - 1© nom de 1» application propriStaire du 

tableau, 

- le nom du tableau, 

- le nombre de colonnes du tableau, 

- le type du tableau, 

20 - les adresses, dans la memoire, des donnees 

relatives a ce tableau, 

- l D adresse du debut de la description du 
tableau suivant, et 

- pour chaque colonne du tableau, le type de 
25 la colonne, la longueur de la colonne, et le 

nom de la colonne • 

7 - Procid6 selon la revendication 6 , caract§ris§ 
en ce que, dans la table des tableaux de donnfees, pour 
chaque nom de tableau, d 1 application, ou de colonne on 

30 fait prScfeder ce nom par un nombre representatif du 
nombre de caracteres de ce nom. 

8 - Procede selon I 9 une quelconque des 
revendications la 7, caracteris§ en ce que, dans la 
table des tableaux de donnees on cree un tableau de 
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donn€es en lui affectant automatiquement comme nom 
d 1 application propriStaire une information 

representative du nom de 1 1 application pour laquelle on 
a pr£sent& avec succds le code secret. 

9 - Proced€ selon l'une quelconque des 
revendications la 8, caract6ris£ en ce que, dans la 
table des droits on indique comme description pour 
chaque enregistrement ou ligne au moins un des Elements 
suivants : 

- le nom du tableau, 

- le nom de 1 ' application ou de 
l'application-utilisateur ayant obtenu des 
droits, 

- les droits obtenus. 
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